Comment protéger un compte piraté avant son enregistrement 

Le phénomène de la fraude à la violation de compte n’est pas nouveau mais il connaît une accélération substantielle. En 2018, le montant des pertes dues à ce type de fraude s’élevait à environ 4 milliards de dollars. En 2021, ce chiffre a augmenté de plus de 200 % et on estime à ce jour qu’il dépasse les 12 milliards de dollars. 

Un récent article publié par Microsoft a révélé que les cybercriminels ont adopté une nouvelle méthode pour compromettre les comptes consistant à les pirater avant même que les utilisateurs ne les enregistrent. Par exemple, ils créent un compte dans Zoom ou Dropbox à l’aide des informations de connexion de l’utilisateur. Ce pré-piratage peut avoir un effet dévastateur sur les entreprises, l’accès pouvant être compromis sans être détecté. 

Pour que ce genre de cyberattaque fonctionne, les conditions suivantes doivent être réunies :  

• Le compte ne doit pas encore avoir été créé par l’utilisateur avec l’identifiant utilisé

• Les pirates informatiques ont besoin d’un moyen d’identification de l’utilisateur (adresse email, numéro d’identification, numéro de téléphone, etc.), qu’ils obtiennent généralement sur le Dark Web

• Un défaut dans le processus permet de créer le compte sans vérification

Concernant le dernier point, il convient de préciser que les pirates informatiques n’ont pas accès à l’adresse email ou au téléphone portable de leur victime. Ils sont simplement en possession de son nom d’utilisateur et de son mot de passe, le compte n’est donc pas activé. L’étude de Microsoft Research identifie les méthodes de pré-piratage suivantes : 

1. Attaque par fusion fédérée classique : avec cette méthode, le pirate crée un compte à l’aide de l’adresse email de la victime. Ce compte n’est bien sûr pas vérifié, car le pirate n’a pas accès aux emails mais l’identifiant est enregistré. À quel moment le compte est-il compromis ? Lorsque la victime l’active grâce au chemin de création de l’IdP. 
   
    
2. Attaque par ID de session sans expiration : le pirate réussit à générer le compte en se servant de l’adresse email de la victime comme identifiant, rendant ainsi l’accès entièrement fonctionnel. Lorsque la victime essaie de créer le compte, elle est informée que celui-ci existe déjà et une procédure de récupération de mot de passe est lancée, ce qui n’empêche pas le pirate de continuer à y accéder. Pour que cette attaque soit fructueuse, le service doit autoriser plusieurs sessions simultanées.  
   
    
3. Attaque par identifiant sous forme de cheval de Troie : avec ce système, le pirate informatique génère un identifiant sur le nouveau compte puis crée un login secondaire avec les véritables données du client (adresse email ou numéro de téléphone). En d’autres termes, même si la victime essaie de se connecter en récupérant son mot de passe, le pirate restera actif sur le compte en tant que cheval de Troie. 
   
    
4. Attaque par IdP sans vérification : avec cette technique, les pirates informatiques créent leur propre IdP et ouvrent un compte à l’aide de son chemin fédéré, puis ils ajoutent un utilisateur en utilisant l’adresse email de la victime. Lorsque la victime crée un compte, le système lui indique qu’il existe déjà et lorsqu’elle récupère le mot de passe, le pirate y accède grâce au compte fédéré. 
   
    
5. Attaque par modification d’adresse email sans expiration : avec ce vecteur d’attaque, l’acteur malveillant génère un compte en se servant de l’adresse email de la victime sans attendre la vérification puis la remplace par une autre qu’il contrôle. Ainsi, si la victime essaie de créer un compte, le pirate en prendra le contrôle avant même la fin du processus de changement d’adresse email. 
   
    
6. Ruse de la vérification de l’email : Sur de nombreux systèmes, le service ne permet pas de créer de compte sans vérification de l’adresse email. Le pirate informatique en crée alors un en utilisant une adresse email qu’il contrôle puis profite de la fonction de modification de l’adresse email en saisissant celle de la victime. Par conséquent, lorsque l’utilisateur souhaite créer un compte, il peut démarrer le processus de modification mais le pirate y aura déjà appliqué un cheval de Troie, lui permettant ainsi de rester actif. 

Comment pouvez-vous donc vous protéger contre une attaque par pré-piratage ?  

La mesure fondamentale et la plus efficace consiste à mettre en place un système robuste d’authentification multifacteur (MFA). Les connexions classiques par identifiant et mot de passe ont un gros défaut : les mots de passe peuvent être facilement compromis. Auparavant, les systèmes de MFA s’appuyaient sur une authentification à deux facteurs (2FA). Désormais, la méthode multifacteur est de plus en plus utilisée pour décrire tout système d’authentification nécessitant au moins deux informations d’identité dans le but de réduire la possibilité d’une cyberattaque. 

Ces systèmes identifient de manière explicite l’utilisateur au moyen d’un appareil personnel supplémentaire. Toutefois, pour qu’ils soient vraiment efficaces, il est primordial d’activer le MFA associé à un compte au moment même de sa création. Plus l’intervalle entre la création et l’activation du MFA sera long, plus le risque d'être victime d'une attaque sera élevé. 

Une fois le MFA mis en œuvre, les entreprises doivent se concentrer sur l’autre maillon faible de la chaîne : les utilisateurs. Trop souvent, ceux-ci ne se souviennent pas qu’ils ont créé un compte sur un service donné et lorsqu’ils reçoivent une alerte, ils partent du principe qu’ils l’ont créé, récupèrent le mot de passe et finalisent l’attaque sans même s’en apercevoir. Il est donc important de former les utilisateurs à ne jamais récupérer le mot de passe d’un service, à moins qu’ils ne soient absolument certains d’avoir créé un compte au préalable.